OpenReplay Logo
12k
12k

Explicateur de politiques AWS IAM

Collez une politique AWS IAM ou une politique d'approbation de rôle et obtenez une explication en langage clair de ce qu'elle autorise — avec une mise en évidence des schémas à risque. Tout s'exécute dans votre navigateur.

Tout s'exécute dans votre navigateur — rien n'est envoyé.

À propos de cet outil

Une politique IAM est un document JSON qui détermine qui peut faire quoi dans un compte AWS. Chaque instruction combine un effet (Allow ou Deny), un ensemble d'actions, les ressources auxquelles elles s'appliquent, éventuellement un principal, et des conditions qui doivent être remplies. La grammaire est précise mais dense — quelques caractères génériques et opérateurs de condition peuvent masquer l'ampleur réelle des accès qu'une politique accorde.

Cet outil analyse le document et réécrit chaque instruction sous forme de phrase : quelles actions sont autorisées ou refusées, sur quelles ressources, pour qui et sous quelles conditions. Il met ensuite en évidence les schémas qui méritent une seconde lecture — accès administratif complet, principal public, caractères génériques de service trop larges, pièges NotAction/NotResource et actions d'élévation de privilèges — et signale les bons contrôles comme l'imposition du MFA ou du TLS.

L'analyse se fait localement — la politique que vous collez ne quitte jamais votre navigateur. L'explication est une traduction déterministe du JSON, et non un avis juridique ou de sécurité ; vérifiez toujours par rapport à vos propres exigences.

Questions fréquentes

L'outil envoie-t-il ma politique quelque part ou utilise-t-il un LLM ?

Non. L'explication est générée par un moteur de règles déterministe qui s'exécute entièrement dans votre navigateur. Rien n'est téléversé et aucun service d'IA n'est appelé, de sorte que les identifiants de compte, les ARN et les principaux restent sur votre appareil.

Quels types de politiques l'outil comprend-il ?

Les politiques basées sur l'identité, les politiques basées sur les ressources et les politiques d'approbation de rôle. Il normalise les instructions uniques ou multiples, les valeurs de type chaîne ou tableau, les blocs de principal, ainsi que les opérateurs de condition et les clés de condition globales courants.

Les alertes de risque constituent-elles un audit de sécurité complet ?

Non. Elles signalent des schémas courants à fort impact — accès administratif complet (Action et Resource tous deux à "*"), principaux publics, caractères génériques de service trop larges, NotAction/NotResource et actions d'élévation de privilèges — mais ce sont des heuristiques, et non un substitut à une revue de moindre privilège ou à des outils comme IAM Access Analyzer.